Kompromitovan CPUID distribuirao STX RAT kroz lažne CPU-Z i HWMonitor instalere
Napadači su kompromitovali CPUID sajt na manje od 24 sata i preko izmenjenih linkova delili zaražene verzije alata CPU-Z, HWMonitor, HWMonitor Pro i PerfMonitor. Prema navodima, korisnicima su servirani ZIP paketi i instaleri koji su sadržali legitimni potpisani program i zlonamerni DLL pod imenom CRYPTBASE.dll, kako bi se iskoristio DLL side-loading i isporučio STX RAT. Kaspersky je prijavio više od 150 žrtava, uglavnom pojedinaca, ali i organizacija iz više sektora, dok dodatne analize povezuju incident sa dužom kampanjom koja traje još od jula 2025.
Neprijatni deo ove priče je što kompromitacija nije išla kroz sumnjiv piratski sajt, već kroz poznat izvor sa legitimnim alatima koje koriste i administratori i tehnički potkovani korisnici. Kad napadač ubaci malware u lanac preuzimanja popularnog utility softvera, poverenje u sam izvor postaje slabost, a posledice se lako preliju i na kućne i na poslovne sisteme.
- Proveriti da li je bilo preuzimanja sa CPUID sajta između 9. aprila 2026. u 15:00 UTC i 10. aprila 2026. u 10:00 UTC
- Izolovati računare na kojima su u tom periodu instalirani CPU-Z, HWMonitor ili povezani alati
- Pretražiti sisteme za tragove DLL side-loading tehnike, STX RAT aktivnosti i poznate C2 indikatore
- Resetovati lozinke i tokene na kompromitovanim uređajima jer RAT ima i infostealer mogućnosti
- Uvesti proveru izvora, hash vrednosti i reputacije pre instalacije i za naizgled legitimne administrativne alate